パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PHP 7.1 リリース」記事へのコメント

  • by Anonymous Coward

    とてもIDでは言えないが、客の中にはいまだに5.5や5.3使ってるところがある。
    最悪なのはいまだに4.xのところ。

    危ないよという意見は内外からも頻出しているけれど
    アップデートに合わせた修正を行う資金も無い、
    システムを停止する勇気も無い、
    痛い目に合うまで走りつづけるという・・・

    • by Anonymous Coward

      RHEL6が2020年までサポートされる予定で、それに入っているPHPは5.3なので、あと4年は5.3を使い続けるところは結構多いでしょうねぇ。
      セキュリティ問題などは、現行PHPでの修正を5.3にバックポートするなど、RedHatが独自にサポートすることになっていますが、
      最近は全然更新されておらず、結構致命的な問題がいくつか放置状態なはず。

      • by Anonymous Coward

        具体的に、致命的な問題が放置になっているCVE番号を教えていただけませんでしょうか。
        Redhatの評価でImportant以上のものはパッチが出ていると思っていたのですが、
        評価自体が問題とおっしゃっているの?

        • 古いバージョンの php には、開発元が脆弱性とは認めていなくても、言語仕様自体にセキュリティ上の問題がある箇所がかなりあります。

          例えば、CentOS (RHEL) 6 の php バージョンは PHP 5.3.3 ですが、『例えば、PHPを避ける』以降PHPはどれだけ安全になったか [tokumaru.org] から引用すると、

          6.ヌルバイト攻撃の防御機能の追加(PHP-5.3.4 2010/12/9)
          よく知らているように、PHPの機能・関数にはバイナリセーフのものとそうでないものが混在しているため、ヌルバイト攻撃という攻撃手法が成立していました。

          7.PDOのDB接続時の文字エンコーディング指定が可能に(PHP-5.3.6 2011/3/17)
          昔は、PDOを用いる際にDB接続の文字エンコーディングを簡単には指定できないため、SQLインジェクション脆弱性の可能性がありました。

          11. Session Adoption Bugの修正(PHP-5.5.2 2013/8/15)
          PHPには従来からセッションIDとして勝手な値(例: PHPSESSID=ABC)をつけてもそれを受け入れてしまうという問題(Session Adoption)が指摘されていました。PHP開発陣はSession Adoptionはない方がいいが重大な問題ではないと認識していたようで長らく放置されていましたが、PHP-5.5.2にて修正されました。

          (個別に「中略」表記をしていませんが、引用時にそれぞれの項目から一部を抜き出しています)

          あたりは、脆弱性ではなく言語仕様によるものなので、CentOS / RHEL のリポジトリではパッチがあたっていないのでは?

          # 1個1個検証したわけではないので、ひょっとしたら上記の問題についてもパッチが提供されているかもしれません。もしそうであれば、すみません。

          CentOSのPHPは本当に安全か [qiita.com] によると、CVE が付くような脆弱性についても Cent OS の場合ディストリビューション側でのバックポートに約2か月かかっていることもあるので、頻繁にメンテナンスできるサーバであるならばソースからビルドする方が安全 と言えます。ただし、面倒になって古いバージョンが放置される状況よりは、ディストリビューションのパッケージ管理システム下で yum update を定期的に回していた方がマシです。

          親コメント
          • by Anonymous Coward

            一つ上のコメントを書いたACですが、大変参考になりました。

            言語仕様上、安全になっているということが考慮から抜けていましたね

            最新の独自ビルド > 最新のディストリビューションパッケージ > 放置独自ビルド ≒ 放置パッケージ

            # 頻繁に独自でコンパイルしつつ検証して適用して
            # 問題があれば修正してというのはなかなか大変だな・・・

          • by Anonymous Coward

            古いバージョンのOSも似たようなものなのになぜか後を絶たない「Windows 7で十分」信者

            • by Anonymous Coward

              そりゃWindows7は一応サポート対象だしアップデートも続いている
              「Windows7にあってWindows8.1や10にはない、セキュリティ的に問題がある(けど互換性のために消せない)仕様」ってのは聞いたことがないが

              言語仕様として元々リスクを抱え込んでるものと同一視した挙げ句、信者とか言い出す馬鹿に言っても無駄かもしれないけどな

              • by Anonymous Coward

                サポートが続いてるのはRHELのPHPも一緒だろ。そういうわけのわからないことを言ってるから信者呼ばわりされることすら気づかない。

              • by Anonymous Coward

                https://blogs.msdn.microsoft.com/nakama/2016/08/18/win10waas-part2/ [microsoft.com]
                > 典型的な誤解として、セキュリティパッチをすべて当てさえすれば大丈夫、というものがあります。もちろん、セキュリティパッチを適切に当てていくことは基本中の基本ですが、これはあくまで「現在の『穴』を塞ぐ」というものでしかなく、「根本的な安全性を高める」ことはセキュリティパッチではできない、という点を理解する必要があります。

                なるほど。

              • by Anonymous Coward

                サポートが続いてようが続いてまいが、仕様バグを互換性のために残してるようなモノとOSを一緒くたに語るのが間違い

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...